ユーザー中心の認証:企業での 認証の新たな領域
パスワードは、従来のIDアクセス管理(IAM)のアイデンティティライフサイクルの各段階 の、あらゆる側面に組み込まれています。残念なことに、パスワードの盗難は、サイバー 犯罪者が企業に侵入するために使用する最大の脅威ベクトルの1つとなっています。 しかしながら、近年では多くの金融サービス組織が フィッシング攻撃に対するサイバー セキュリティ防御を強化する重要性を認識し、従来の非常に脆弱な多要素認証を フィッシング耐性を備えた多要素認証(MFA)に置き換えることにより、理想的には パスワードレス認証に移行し、パスワードを完全に廃止しようとしています。
パスワードレス認証や新しいオンデバイス認証ソリューションの最近の進化に伴い、 組織がユーザーのアイデンティティ資格情報を確立し、そのライフサイクルを通して 管理する方法が進化しています。
従来から、組織が考えているのは、フィッシング耐性を備えた認証であり、フィッシング 耐性を備えたユーザーではありません。これは、認証イベントを、機密性の高いシステム、 アプリ、サービスにログインする時点として考えるのか、ユーザーがどのように生活し、 働くかについて考えるのかの違いです。多くの場合、ユーザーは、1日のうちに多くの プラットフォーム(Apple、Google、Microsoft)やデバイス(スマートフォン、ノートPC、 タブレット)の間を移動したり、個人用と企業用のアプリやサービスの間を移動したり します。金融サービス組織は、ユーザーがどのようなビジネスシナリオ(リモート ワーカー、モバイル機器の使用制限、共有ワークステーション、サプライチェーンの サードパーティ、エンドカスタマーなど)で従事しているかに関係なく、または使用して いるプラットフォームやデバイスに関係なく、フィッシング耐性が得られる認証を ユーザーに提供することを考える必要があります。
パスキーの導入
パスキーは、FIDOアライアンスによって、消費者と組織両方のパスワードレス化を促進 する方法として導入されました。Google、Apple、Microsoft、Webブラウザなどの主要 なプラットフォームでパスキーを使用できるようになっています。パスキーソリューション の開発により、あらゆる企業で新しいエンタープライズアイデンティティのセキュリティ イベントが作成されました。

FIDO
パスワードベースのシステムからの 移行に焦点を当てたグループ、FIDO アライアンスが支持するオープンな セキュリティ標準。

資格情報
システムにログオンするときに「ゲートを 通る」ことができるユーザーの一意のID。
多くの場合、組織とそのユーザーは、パスキーと、パスキーが常駐しているオーセンティ ケータを混同しがちです。パスキーは単なるFIDO2資格情報であり、スマートフォン、 あるいはタブレットやノートPCなどの汎用デバイスに常駐させることができます。 また、FIDOハードウェアセキュリティキーなど、セキュリティ専用のオーセンティケータ であるポータブルデバイスにも常駐させることができます。
パスキーとは、資格情報そのものであり、デジタルファイルです。オーセン ティケータはパスキーが常駐している場所です。たとえば、スマートフォン、 ノートPC、ハードウェアキーなどのデバイスです。

パスキー

パスキー オーセンティケータ
企業ユーザーとエンドカスタマー のセキュリティ確保
ユーザーが持つさまざまな認証ニーズ

セキュリティキー
デバイスに紐付けられた、 アテステーション可能な 資格情報

プラットフォーム オーセンティケータ
デバイスに組み込まれている オーセンティケータ

サードパーティ オーセンティケータ アプリ
ユーザー認証ソリューション を提供するアプリケーション
すべての企業ユーザーが毎日同じ仕事をするわけではありません。ビジネスのニーズ に応じて、ユーザーはノートPCを使ってリモートで作業したり、会議中にスマホで電子 メールにアクセスしたり、コールセンターや銀行支店などの共有ワークステーションや 共有端末へのアクセスや使用をしたりする必要があります。企業ユーザーは、さまざま なタイプの認証ニーズを持ち、それに応じて使用すべきオーセンティケータのタイプが 異なります。企業ユーザーは、リモートワーカーまたはハイブリッドワーカーである場 合もあれば、スマホが選択肢に入らない、コールセンターなどのモバイル利用が制限 された環境で作業する場合もあります。また、複数のユーザーがすべて同じコンピュー タ端末上で安全にログインおよびログアウトする必要がある共有ワークステーション で作業している場合もあります。
したがって、ユーザーがパスキーを保持すべきオーセンティケータのタイプは、ユーザ ーの役割の機密性、またはアクセスする必要があるデータやシステムのタイプによっ て異なる場合があります。ハードウェアセキュリティキーは、セキュリティ専用のポータ ブルオーセンティケータであり、ユーザーが企業の広範なビジネスシナリオで安全か つシームレスに作業できるようにするものです。一方、プラットフォームオーセンティケ ータは、スマートフォンやノートPCなどの汎用デバイスに組み込まれています。さらに、 オーセンティケータアプリなどのモバイルアプリケーションも、ユーザー認証ソリュー ションとなります。これらのオーセンティケータには、セキュリティと使いやすさの トレードオフがあります。企業は、必要なセキュリティ保証のレベルと、許容できる リスクのレベルを決定する責任があります。
金融サービス組織が考慮する必要があるのは、エンタープライズユーザーだけで はありません。金融サービス組織の主たる目標は、エンドカスタマーにサービス を提供することであり、エンドカスタマーは一般的なエンタープライズユーザーと は大きく異なります。しかし、FFIECなどの多くの規制機関が、エンドカスタマーに 対してより安全な認証方式を要求し始めているため、エンドカスタマーにサービ スを提供するために構築された、オンラインバンキングやモバイルバンキングな どのデジタルサービスのセキュリティを強化することが重要です。ここでは、広範 なエンドカスタマーベースがデジタルサービスにアクセスするために使用する デバイスの大規模なエコシステムに対応する必要があるため、ニーズが異なりま す。エンドカスタマー向けの認証手段を、単なるユーザー名とパスワード以上の 強固なものへと移行しなければ、アカウント侵害が発生した際には、組織が賠償 責任を負う可能性があります。
さまざまなパスキークラス
パスキーの実装法はさまざま
パスキーはパスワードよりも安全であり、パスワードレス認証に迅速に移行できる ため、セキュリティと効率を向上させることができます。さまざまなパスキーの 実装があり、セキュリティと使いやすさのトレードオフがそれぞれにあるので、 パスキーを作成する方法はさまざまであり、すべてが企業に適しているわけでも ありません。

同期型パスキー

デバイス固定パスキー
(ハードウェア紐付けとも称する)
同期型パスキー
企業向けではなく一般消費者向けの設計
同期型パスキーはコピー可能な資格情報であり、スマートフォン、ノートPC、タブレット など、ユーザーのアカウントに接続するすべてのデバイスにコピーされます。これが 企業にとって深刻な弱点の原因になることがあります。同期型パスキーは、リモート ワーク、サプライチェーンのセキュリティ、コンプライアンス、サポートの複雑さなど、 主要な企業シナリオにおいて、重大なリスクとエクスポージャギャップをもたらします。
デバイス固定パスキー
企業ユーザー向けの設計
デバイス固定型のパスキーは、同期型のパスキーよりも管理が容易であり、したがって、 企業向けに適しています。
ただし、デバイス固定パスキーにはさまざまなタイプがあります。ハードウェア セキュリティキーに埋め込まれたものは、最高のセキュリティ保証性を提供することが 知られており、資格情報の安全性を証明するアテステーションを企業が実施できます。 ハードウェアセキュリティキーを使用すると、企業は信頼性の高い資格情報ライフ サイクル管理プロセスを構築できます。セキュリティキーを使用すると、企業ユーザー は新しいデバイスを登録し、企業パスキープロバイダに対して認証することができま す。また、各ユーザーは、認証プロセス中に自分自身を簡単かつ安全に認証するため のポータブルでフィッシング耐性がある資格情報を持っているため、別のデバイス 固定型の資格情報(Windows HelloやOkta FastPassなど)を登録できます。この ソリューションによれば、ヘルプデスクからリスクが排除され、あらゆる業界での最も 厳しい要件にも企業が準拠できるようになります。
同期型パスキーとデバイス固定パスキー

同期型パスキー
スマートフォン、タブレット、ノートPC、その他のデバイス上に存在し、 多くのデバイス間でコピーや同期が可能。

デバイス固定パスキー
日常的的に使用するデバイスとは別の、USBキーなどの独立したハード ウェア上に存在し、高いセキュリティ保証を実現。
パスキーツールボックスを使用してすべてを網羅
同期型パスキーとデバイス固定パスキーのさまざまなパスキー実装
ユーザーは、保存されているパスキーを使用して、認証に3種類の認証手段を使用できます。市場で最初に導入された パスキーソリューションであり、認証のゴールドスタンダードであるのが、ハードウェアセキュリティキーです。セキュリテ ィキーを使用すると、ユーザーはキーに格納されているパスキーを使用して認証を受けることができます。ユーザーの 責任下で、セキュリティキーをデバイス間で移動できます。重要なことは、専用オーセンティケータは、多くの企業にとっ て重要であるモバイル利用制限環境や共有ワークステーション環境のセキュリティ保護など、モバイル上のオーセンテ ィケータでは解決できない企業の特定のユースケースを解決するということです。
市場に新たに登場したその他のソリューションには、サードパーティパスキープロバイダがあり、これらのアプリケー ションは、ユーザーがデバイス固定パスキーと同期型パスキーの両方を管理できるように作成されています。2021年に 同期型パスキーが登場し、それを補うようにプラットフォーム各社が消費者向けパスキーをサポートしました。同期型 パスキーは、さまざまなプラットフォームでサポートされるようになりました。これらのプラットフォームの中には、同期 型パスキーの使用をプラットフォームのオーセンティケータに限っているものもあります。

iOSおよびMacOSでは、プラットフォーム上での同期型パスキーの作成のみがサポートされています。Google Android でも、同期パスキーのみがサポートされるようになりました。Chromeでは、同期型パスキーとデバイス固定パスキーの 両方がサポートされており、リライングパーティやサービス(Dropboxなど)は作成するものを選択できます。この オプションに加えて、Windows Helloでは、そのワークステーションデバイスに紐付けられたパスキーの作成のみが 有効です。また、1PasswordやDashlaneなどのサードパーティプロバイダは、同期型パスキーの作成をサポートしてい ます。市場には、アプリによるデバイス固定パスキーをサポートするソリューションもあり、これはパスキーの新たな地 平におけるもう1つの新しい発展です。
パスキーの用語で混乱していません か?覚えておくべきことは、秘密鍵の保 護が重要であるということです。
秘密鍵が格納される場所を規定すること は、パスキーに関連するリスクを理解する 上で不可欠です。リライングパーティや サービスは、資格情報の登録に含まれて いるデバイスアテステーションを利用して、 企業で使用が許可されているデバイスに パスキーが保存されていることを検証で きます。
すべてのパスキーは公開鍵暗号方式に基 づいており、安全に格納されている秘密鍵 と共有または公開されている公開鍵の ペアが存在します。秘密鍵は非公開を保つ 必要があり、これはパスキーソリューション とパスキーが存在する基盤システムの義 務です。同期型パスキーを使用すると、秘 密鍵を複数のデバイスやクラウド管理 システムにコピーできます。このため、企 業ではパスキーを追跡し信頼することが 困難になります。デバイス固定パスキーで は、企業が必要とする管理と制御が向上し ます。しかし、企業が必要とする秘密鍵の 保護を提供できるのは、セキュリティのた めに特別に構築されたポータブルハード ウェアオーセンティケータに保存された デバイス固定パスキーだけです。
フィッシング耐性を備えた ユーザーの育成
フィッシング耐性を備えた認証だけでは不十分
パスワードレス認証の採用を促進するためにパスキーが導入されたことで、企業にお ける認証の新しい目標は、フィッシング耐性を備えた認証にとどまらず、フィッシング耐 性を備えたユーザーを確立することになります。パスキーは、真のユーザー中心の認証 および組織内でのユーザーの業務状況という文脈で考慮する必要があります。この 戦略では、すべてのユーザーがすべての認証タスクにフィッシング耐性を備えた認証 ソリューションを使用する必要があります。フィッシング耐性を備えた認証からフィッシ ング耐性を備えたユーザーへと目的を移行すると、ユーザーがヘルプデスクに電話で 問い合わせることなく新しいデバイスを登録できるようにすることができ、高いレベル の保証が維持されることで、ユーザーは安全にリモートで業務を遂行できるようにな り、同時にヘルプデスクの運用上のリスクやセキュリティ上のリスクを排除できます。
このことを念頭に置くと、焦点は適切なオーセンティケータの選択(スマホかセキュリ ティキーなど)から、ユーザー(企業ユーザーでもエンドカスタマーでも)が持つすべて の認証オプション(およびパスキー)が安全に登録され、ユーザー体験の目標と企業の セキュリティニーズの両方を確実に満たすことの保証に移ります。
パスワードや、SMS、ワンタイムパスワード、モバイル認証などの従来のフィッシング可 能なMFAソリューションから移行することは、ユーザーが複数の資格情報、パスキー、 パスキープロバイダを持つ世界へと移行することを意味します。この変化により、資格 情報ライフサイクルは、ユーザーとの重要なやり取りを管理する必要がある企業にと って新しい転換点となります。
金融サービス組織では、社内の従業員であれエンドカスタマーであれ、各ユーザーに 対して次の事象に対するソリューションが必要となります。
最初の認証:新しいコンピューティングデバイス(スマホ、ノートPC、デスクトップ)を デバイス管理システムに安全に登録する際の最初の認証
資格情報登録:信頼できる/管理されたデバイス、または信頼できない/管理されてい ないデバイスでの、同期型またはデバイス固定型の資格情報のフィッシング耐性があ る登録
パスキープロバイダへの最初の認証:信頼できる/管理されたデバイスへのパスキー の同期を開始するための、新しいデバイスのパスキープロバイダへの最初の認証
安全なセルフサービス資格情報管理:従業員が以下のようになったときのための セルフサービスツール
管理されたデバイスの紛失または廃棄により、デバイスに保存されている資格情報を 無効化する
パスキープロバイダへのアクセスを回復する必要がある
プラットフォームアカウントへのアクセスを回復する必要がある
既存のYubiKeyを管理し、使用されなくなった資格情報をすべて無効にするか、紛失と して記録する必要がある
安全なセルフサービスオーセンティケータ管理:ユーザーがアカウントロックアウトの リスクを回避するために新しいパスキーを必要とする場合に、追加のデバイス固定 パスキー(たとえば、YubiKey上に存在している)をオーダーするためのセルフサービ スプロセス
アカウントロックアウト:すべてのオーセンティケータ/資格情報へのアクセスを失っ た後に、企業で管理されるアカウント用に発行された新しい資格情報をユーザーが 取得するための安全なプロセス
フィッシング耐性のあるユーザーとポータブルパスキー
フィッシング耐性は、特定の隔離されたデバイスや プラットフォームに結び付けられるべきではありません。 ユーザーがどのアプリ、サービス、システムにログインし ているかに関係なく、企業生活や個人生活全体を通して、 ユーザーとともに移動できるようにすべきです。これによ り、フィッシング耐性のある企業がエンドツーエンドで 構築されます。YubiKeyに存在するようなデバイス固定パ スキーは、ポータブルな独立したハードウェアとパスキー の安全な暗号化方式を組み合わせたものです。YubiKeyを使用すると、強力な認証 がユーザーと一緒に移動し、特定のプラットフォームやモバイルデバイスに関連付け られていないフィッシング耐性のあるユーザーが作成されます。
適切なパスキーを選択するため の考慮事項
すべてのパスキーにフィッシング耐性があるとして も、金融サービスのユースケースに適合していると は限らない
多くのパスワード置き換えソリューションは、耐フィッシング認証を市場に投入すること に重点を置いており、企業はパスワードを置き換えるための簡単なソリューションを求 めています。この検討の一環として、金融サービス組織は、アカウントのライフサイクル と関連する規制要件の各段階に対応して、どのようなパスワードレス技術が適切かを 判断する必要があります。セキュリティ専用に構築されたオーセンティケータのデバイス 固定パスキーは、そのような要件を満たすことができます。理想的な戦略では、主要な 認証制御ポイントにフィッシング耐性をもたせるだけでなく、フィッシング耐性を備え たユーザーを作成するためのパスを提供します。これにより、ユーザーが使用するあら ゆるデバイスにおけるさまざまな認証方式を通じて、保護が実現されます。
統制された顧客アプリケーション
銀行アプリケーション、証券会社サイト、保険ポータルはすべて、リスクの高い顧客対 応アプリケーションという幅広いカテゴリに分類されます。個人および組織のリソース を保護するために、地方レベル、国家レベル、国際的な規制で、より高度な保証方法に よる認証が必要になる場合があります。しかし、これらの追加手順によって、プロセス が円滑でなくなり、顧客がサービスを利用しなくなる場合がよくあります。
同期型認証やデバイス固定型認証など、パスキー認証を有効にすることをお勧めしま す。これにより、エンドユーザーがすでに使用しているデバイスのセキュリティ制御を 利用して構築し、フィッシング耐性に優れた簡単なワークフローを提供します。また、 デバイス固定パスキーをサポートすることで、価値の高い顧客やリスク回避志向の高い お客様に対して、より高いレベルの保証を提供できるようになります。金融サービス業界 の多くのYubicoクライアントは、価値の高いクライアント向けにデバイス固定パスキー を送信し、セキュリティサービスの差別化を図っています。
規制対象の対顧客業務
リテールバンキングやコールセンターでのサポートのやりとりは、興味深いビジネス 領域です。 規制機関からの要件では、エンドカスタマー向けに実施される取引の トレーサビリティと監査可能性が求められます。これらの両方の要件を満たすソリュー ションは、取引を依頼する顧客の本人確認や、取引を実施する代理人の確認など、強固 な本人確認から始まります。パスキーを使用した認証では、これらの問題の両方を解決 することが可能です。顧客側では、パスキーに基づく本人確認を、アプリケーションや エンドカスタマーに送信されるウェブページに組み込むことができます。また、対面で 行われるセレモニーの一部として実施することもできます。社員側から見ると、パスキー 認証によって強力な暗号化機能の力を利用して、個々の企業ユーザーと特定のトラン ザクションやアクションとを紐付けることができます。さらに、デバイス固定パスキーに よれば、モバイル制限環境内でのエンドユーザーの操作や機能を中断することなく、 シンプルで信頼性の高い識別プロセスが得られます。
開発チーム
開発チームでは、エンタープライズアプリケーション用のコードを作成する従業員が 「王国への鍵」を保持しているため、最高レベルのセキュリティを実現することが極め て重要です。
これらのユーザーを最高保証度の認証で保護することで、アプリケーションとビジネ スを確実に保護できます。アカウントの乗っ取りを防止し、安全なコード署名プロセス を確保することが不可欠です。このような場合は、アプリケーションの追跡性を確保す るため、デバイス固定パスキーを導入し、コードチェックイン時に署名を要求すること がベストプラクティスです。具体的には、GitHubやAtlassianなどのエンタープライズ コード管理プラットフォームへのデプロイ時に実施してください。
安全なオンボーディングと復旧はすべてのユーザーに必須
お客様が実装することを決定するMFAは、登録および復旧と同じ程度の安全性にし かなりません。登録またはオンボーディングのプロセスがOTPコードの送信などの フィッシング可能な方法を使用したものであれば、MFAの導入の脆弱性につながりま す。FIDO資格情報を登録またはリセットできる人がいると、耐フィッシングMFAを使用 する目的が損なわれます。組織では、MFA方式の登録を可能にするための堅牢なオン ボーディングと復旧のソリューションを備えている必要があります。
それぞれのパスキータイプにおける主要な実装上の考慮事項
プラットフォームパスキープロバイダ(同期 型パスキー)
- ユーザーがMFAを設定しているか?
- フィッシング耐性を備えたMFAか?どうすれば 判定できるか?
- ユーザーが プラットフォームアカウントを復元 できるか?
- そのセキュリティはどの程度か?
- ユーザーがプラットフォームアカウントへの アクセスを復元するとどうなるか?
- それを知ることが可能か、考慮すべきか?
サードパーティのパスキープロバイダ(同 期型パスキー)
- ユーザーがMFAを設定しているか?
- フィッシング耐性を備えたMFAか?どうすれば 判定できるか?
- アカウントでフィッシング耐性がある認証のみが 許可されているか?
- アカウントはフィッシング攻撃が可能なアカウント 復旧法を備えているか?
- ユーザーが新しいデバイスを登録した場合、 どうすれば知ることができるか?
デバイス固定パスキー
- ハードウェアセキュリティキーを使用したデバイス 固定パスキーがアプリケーションで機能しないよ うにする理由があるか?
- ユvーザーは複数のハードウェアオーセンティケ ータを持っているか?
- ユーザーが自分のアカウントへのアクセス権を 失った場合にどうなるか?
YubiKeyは他のデバイス固定パスキーの安全性を強化
二者択一ではありません。サードパーティパスキープロバイダをリスクの 低いアプリやユーザーに使用したり、復旧シナリオで一時的に専有的に使 用したりする場合など、主なシナリオでは、ハイブリッドアプローチが組織 にとって最適な方法となる場合があります。また、プロビジョニングされ、 エンドユーザーに配布される、事前に登録されたYubiKeyを使用すると、 サードパーティパスキープロバイダ内で別のタイプのデバイス固定パスキ ーのセットアップを開始するために必要な強力な紐付けが作成されるこ とも考慮してください。これにより、セキュリティと使いやすさの水準が大 幅に向上し、組織が基盤とすることができる堅牢な資格情報ライフサイク ル戦略が作成されます。
企業でのその他の考慮事項:コンプライアンス、監査、リスク
セキュリティ専用のオーセンティケータ上のデバイ ス固定パスキーを使用したコンプライアンスと監査
- 限定されたアテステー ション機能。パスキー を保護しているデバイ スやハードウェアを特 定するのが困難
- スマートフォン、ノート PC、タブレットなどの汎 用デバイス中のデバイス 固定パスキーは、AAL2 までしか満たさない
- 最も厳格なコンプライア ンス要件や認定要件を満 たしていない
メリット
- ハードウェアオーセンティ ケータのアテステーション は、既知の特性を持つ既 知の信頼できるハード ウェアに、パスキーが安全 に保存されるという最高 レベルの信頼を提供
- YubiKey内のデバイス固 定パスキーは、AAL3を 満たす唯一のキー
- 最も厳格なコンプライ アンス要件および認定 要件に準拠

YubiKey
他のあらゆるパスキープロバイダのセキュリティ水準を改善
企業がユーザーの日常生活からパスワードを排除するためには、シンプルで 安全なポータブル認証ソリューションをユーザーが使用できるようにするもう 一つ重要な方法があることに留意することが大切です。YubiKeyを使用する と、ワークステーションへの認証、パスキープロバイダ(プラットフォームとサード パーティの両方)のロック解除、パスキーアプリケーションのブートストラップが 可能になります。
YubiKeyに常駐するデバイス固定パスキーは、組み込みのFIDOアテステー ションの基準に基づいた秘密鍵の管理方法について、最高レベルの保証を提供 します。YubiKeyは、専用のハードウェアセキュリティモジュール内に秘密鍵が 格納され、保護されていることを保証します。他の形態のデバイス固定パスキー は、秘密鍵のセキュリティと制御に関する情報を提供するために、信頼性のより 低いアプローチに頼る必要があります。可視化された制御がないために、コンプ ライアンス規制や必要なセキュリティ基準を満たすという企業のニーズを満た せない可能性があります。
まとめ
企業におけるパスキーの考慮事項
パスキーによりFIDOに対応した世界が実現されますが、ユーザーアイデンティティの 厳密な管理を必要とする規制が厳格な金融サービス組織では、スマートフォン、ノート PC、タブレットなどの汎用デバイスに常駐しているデバイス固定パスキーでは、組織のリ スクを軽減することができない可能性があります。セキュリティキーに常駐する デバイス固定パスキーは、最高のセキュリティ保証を提供し、最も強力なセキュリティ、 最もシンプルなユーザーオンボーディング、資格情報/アカウントの復旧をデバイスや プラットフォーム全体で実現し、最も厳格な規制要件を遵守し続けるために必要な、 信頼できる資格情報ライフサイクル管理とアテステーション機能を企業に提供します。
- フィッシング耐性のあるユーザーを作るために、認証および資格情報管理のすべて の領域をサポートできる、フィッシング耐性のある認証方式を探しましょう。オンボー ディングと復旧のフローは、フィッシング耐性が破られる領域として一般的であり、 魅力的な攻撃ベクトルとなります。
- 多種多様なデバイスでは、アテステーションが不十分であったり存在しない場合が あります。サービス/リライングパーティまたは企業は、どのタイプのデバイスが使用 されたか、オーセンティケータに信頼をおくことができるか、パスキーがどのように 格納されているかを知ることもできません。企業では、ユーザーが使用するパスキー を信頼できることが重要です。
- 最新のFIDOセキュリティキーに存在するようなパスキー資格情報は、スマートフォン のパスキーよりも高い保証レベルを提供します。スマートフォンのパスキーは 低いセキュリティのパスキーであり、AAL2までしか保証が提供されません。一方、 セキュリティキーに存在するパスキーでは、コンプライアンスを確保するために重要な AAL3保証(最高のオーセンティケータ保証であるレベル3)が提供されます。
